DDoS-Erkennung, Mitigation, Management und Bedrohungsanalyse
Umfassende Sicherheit & CGNAT
TLS/SSL Inspection
Web-Application-Firewall
Anwendungssicherheit und Load Balancing
Analytik und Management
CGNAT und IPv6-Migration
Das Bedrohungsforschungsteam von A10 Networks hat die HTTP/2 Rapid Reset-Schwachstelle(CVE-2023-44487) untersucht, die in den letzten Tagen identifiziert wurde, und Kunden beraten, wie sie diese in ihrem Netzwerk am besten entschärfen können.
Die HTTP/2 Rapid Reset-Schwachstelle(CVE-2023-44487) nutzt die Eigenschaften des HTTP/2-Protokolls aus. Im Gegensatz zu HTTP/1.1 erlaubt HTTP/2 Multiplexing und Gleichzeitigkeit, wobei mehrere Datenströme viel effizienter innerhalb einer einzigen TCP-Verbindung aufgebaut werden können. Die Schwachstelle ermöglicht es böswilligen Akteuren, die Serverbeschränkungen für Datenströme zu umgehen, indem sie unmittelbar nach der Anforderung eines neuen Datenstroms Pakete zum Zurücksetzen des Datenstroms ausgeben. Einige Bot-Exploits sind dafür bekannt, dass sie eine große Anzahl von Streams innerhalb einer einzigen TCP-Verbindung anfordern. Dadurch kann es vorkommen, dass die Server nicht in der Lage sind, geschlossene Streams umgehend zu bereinigen, was zu einer Überlastung der Server und schließlich zu einer Unterbrechung der Dienste führt, weil die Ressourcen erschöpft sind.
Bedrohungsakteure haben sich Botnetze zunutze gemacht, die mit Malware-Skripten infiziert sind und selbstständig TCP-Sitzungen initiieren können. Sie werden von Command-and-Control-Servern (C2) koordiniert, die sie anweisen, schnelle Reset-Angriffe zu initiieren. Bei einem kürzlichen Vorfall waren rund 20.000 Botnets an einem DDoS-Angriff beteiligt, darunter möglicherweise auch solche, die vom A10-Bedrohungsforschungsteam überwacht werden.
Der Angriff selbst ist ein nicht-reflektierender, nicht-volumetrischer und größtenteils verschlüsselter Angriff. Daher wäre er für netzwerkbasierte Verkehrsüberwachungs- und DDoS-Erkennungssysteme weniger sichtbar, aber er nutzt eine Schwachstelle in der Stream-Multiplexing-Funktion des HTTP/2-Protokolls aus, die alle HTTP/2-fähigen Server und Proxys im Internet anfällig und durch diesen Angriff gefährdet macht.
Aufgrund der Art der Schwachstelle und der potenziellen DDoS-Angriffe, die sie ausnutzen, empfiehlt A10 - als Branchenführer im Bereich DDoS-Schutz - die folgenden Abhilfestrategien:
A10 Thunder® ADC unterstützt das HTTP/2-Protokoll VIP (oder virtueller Server) und verfügt über integrierte Kontrollrahmenbegrenzungen, die einen HTTP/2 Rapid Reset-Angriff entschärfen können. Weitere Einzelheiten finden Sie im A10 Security Advisory zu CVE-2023-44487. Durch die Identifizierung der IPs der Angreifer auf dem ADC hilft das Feedback bei der Erstellung einer effektiven IP-Blockierliste, die als erste Verteidigungslinie auf der Firewall oder dem DDoS-Schutzsystem wie A10 Thunder TPS verwendet werden kann. Thunder TPS ermöglicht eine Ratenbegrenzung pro Quelle unter Verwendung der gepflegten IP-Blockliste und/oder der IP-Blocklisten von A10 threat intelligence service für die bekannten Botnets, wobei unerwünschter Datenverkehr unterdrückt wird, bevor er den HTTP/2-Server oder ADC erreicht.
Die HTTP/2 Rapid Reset-Schwachstelle stellt eine ernsthafte Bedrohung für die Netzwerksicherheit dar und kann zu störenden DDoS-Angriffen führen. Da Angreifer diese Schwachstelle zunehmend mit Botnets ausnutzen, müssen Unternehmen proaktive Maßnahmen ergreifen, um ihre Netzwerkinfrastruktur und -dienste zu schützen. Die Kombination aus Thunder ADC, Thunder TPS, IP-Blocklisten und der Unterstützung durch das A10-Forschungsteam wird dazu beitragen, die Auswirkungen dieser Schwachstelle zu mindern. Die Zusammenarbeit innerhalb der Sicherheits-Community ist unerlässlich, um neuen Bedrohungen einen Schritt voraus zu sein und sich vor zukünftigen Angriffen zu schützen.
Sehen ist Glauben. Vereinbaren Sie noch heute eine Live-Demo.